Est-il prudent de refuser l'accès au fichier .ini dans le fichier .htaccess?
https://stackoverflow.com/questions/216019
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
J'ai un fichier .ini avec des informations sensibles dans mon application php Wab. J'ai refusé l'accès à l'aide d'un fichier .htaccess:
<files my.ini>
order deny,allow
deny from all
</files>
Je n'ai pas accès aux dossiers en dehors de htdocs, je ne peux donc pas déplacer le fichier .ini hors du territoire de navigation.
Est-ce que ma solution est sans danger?
La solution
Le .htaccess bloquera l’accès à partir du Web. Cependant, si vous utilisez un environnement d'hébergement partagé, d'autres utilisateurs pourraient éventuellement accéder à votre ini. Si vous êtes sur un serveur (virtuel privé) et que vous êtes le seul utilisateur de ce serveur, vous êtes en sécurité.
En cas d'hébergement partagé, cela dépend de la configuration du serveur. Pour plus d'informations, consultez: la sécurité PHP dans un environnement d'hébergement partagé
Vous pouvez installer temporairement PHPShell et parcourir le système de fichiers du serveur pour vérifier si votre serveur est vulnérable. (nécessite quelques connaissances en ligne de commande)
Autres conseils
Une autre bonne solution et mon préféré (en particulier lors du développement de code qui pourrait ne pas rester sous le contrôle strict de .htaccess) est de sécuriser le fichier .ini. Merci à une gentille âme ici - Notes pour l'utilisateur: pd sur les bits congelés point de , ce que je fais est:
my.ini -> changes to my.ini.php
mon.ini.php démarre:
;<?php
;die(); // For further security
;/*
[category]
name="value"
;*/
fonctionne parfaitement! Accédez directement au fichier et tout ce que vous voyez est ';' et , il s'agit d'un fichier .ini valide et analysable. Qu'est-ce qui ne pas aimer:)
Quelques notes sur la mise en œuvre réelle (excuses si cela compte comme un "partage du capital" mais permet peut-être de gagner du temps):
- Ce fichier rend mon IDE très bouleversé et continue d'essayer de reformater automatiquement ce qui rend PHP Upset. Que les bénédictions soient sur Notepad ++.
- N'oubliez pas le
; * /de clôture. Cela fonctionne toujours si vous le laissez pas, mais PHP vous avertit qu'il est sur le point de devenir Upset.
Trié.
Le fichier ne sera pas visible depuis apache. Évidemment, la meilleure option est de le mettre en dehors de la racine de votre site. Si vous ne pouvez pas faire cela, les fichiers .htaccess (ou des directives similaires dans vos configs apache) sont quasiment votre seule option.
